Viele Unternehmen haben in Bezug auf den API-Schutz ein falsches Sicherheitsempfinden. Dies ist das wesentliche Ergebnis des Berichts „2022 State of API Security“, den Radware in Zusammenarbeit mit Enterprise Management Associates ver?ffentlicht hat. Die Umfrage umfasst Antworten von Chief Information Officers, Chief Technology Officers, Vice Presidents of IT und IT-Direktoren aus globalen Unternehmen in Nordamerika, EMEA und APAC.
Die Umfrage zeigt, dass die Nutzung von APIs weiterhin steigt. 92 Prozent der befragten Unternehmen haben ihre API-Nutzung erheblich oder etwas erh?ht, wobei 59 Prozent bereits die meisten ihrer Anwendungen in der Cloud ausf?hren. Dar?ber hinaus nutzen fast 97 Prozent der Unternehmen APIs f?r die Kommunikation zwischen Workloads und Systemen, was die wachsende Abh?ngigkeit von APIs im t?glichen Gesch?ftsbetrieb unterstreicht.
Untersch?tzte Bedrohung durch undokumentierte APIs
W?hrend mehr als neun von zehn Befragten glauben, dass sie ihre APIs angemessen sch?tzen, und 70 Prozent davon ausgehen, dass sie gen?gend Einblick in ihre Anwendungen haben, die sensible Daten verarbeiten, geben 62 Prozent an, dass ein Drittel oder mehr ihrer APIs undokumentiert sind. Undokumentierte APIs machen Unternehmen anf?llig f?r Cyber-Bedrohungen, wie z. B. die Exposition von Datenbanken, Datenschutzverletzungen und Scraping-Angriffe.
„In vielen Unternehmen besteht eindeutig ein falsches Sicherheitsgef?hl, dass sie ausreichend vor Cyberangriffen gesch?tzt sind. In Wirklichkeit haben sie erhebliche Schutzl?cken bei unbekannten und undokumentierten APIs“, sagt Gabi Malka, Chief Operations Officer und Leiterin der Forschungs- und Entwicklungsabteilung von Radware. „API-Sicherheit ist kein ‚Trend‘, der verschwinden wird. APIs sind ein grundlegender Bestandteil der meisten aktuellen Technologien, und ihre Absicherung muss f?r jedes Unternehmen eine Priorit?t sein.“
Auch Bot-Angriffe bleiben eine Bedrohung
Fast ein Drittel der befragten Unternehmen (32 Prozent) gab an, dass automatisierte Bot-Angriffe eine der h?ufigsten Bedrohungen f?r APIs darstellen. Bei der Erkennung von API-Angriffen verl?sst sich die H?lfte auf Warnungen von einem API-Gateway (29 %) oder auf Web Application Firewalls (21 %).
„Die Umfragedaten zeigen, dass der API-Schutz nicht mit der API-Nutzung Schritt h?lt“ kommentiert Michael Gie?elbach, Regional Director DACH bei Radware. „Viele Unternehmen st?tzen ihre API-Sicherheitsstrategien auf falsche Annahmen – zum Beispiel, dass API-Gateways und herk?mmliche WAFs ausreichenden Schutz bieten. Dadurch bleiben APIs anf?llig und sind h?ufigen Bedrohungen wie Bot-Angriffen ausgesetzt.“
Eine umfassende L?sung f?r den Schutz von APIs-Schutzl?sung, die auch die Abwehr b?sartiger Bots beinhaltet, kann solche Bedrohungen abwehren. Allerdings gaben nur sehr wenige der Befragten an, dass sie ?ber L?sungen verf?gen, die tats?chlich einen wirksamen Schutz bieten oder wenigstens dazu in der Lage w?ren. So gab die H?lfte der befragten Unternehmen an, dass ihre vorhandenen Tools nur einigerma?en oder minimal wirksam beim Schutz ihrer APIs sind, und 7 % sagten sogar, dass die bei ihnen eingesetzten L?sungen ?berhaupt keine Angriffe erkennen. Die Unf?higkeit der vorhandenen Tools, APIs angemessen vor h?ufigen Bedrohungen zu sch?tzen, setzt Cloud-Implementierungen erheblichen Risiken aus.
Open Source tr?gt zum Sicherheitsmythos bei
Eine weitere gef?hrliche Fehlannahme ist die, dass Open-Source-Code sicherer sei als propriet?rer. Das glauben fast zwei Drittel der Befragten glauben, und nahezu drei Viertel gehen davon aus, dass Container-basierte Deployments und Microservice-Architekturen standardm??ig sicherer sind als monolithische Architekturen und Bereitstellungen.
„Der Glaube, dass Open Source von Haus aus sicherer ist, k?nnte erkl?ren, warum einige Unternehmen bei der Patch-Verwaltung nachl?ssig sind“, so Gabi Malka. „Doch wie wir bei Log4j und Heartbleed gesehen haben, kann Open Source die gleichen Sicherheitsl?cken aufweisen wie propriet?rer Code. Der Glaube, dass Open Source von Haus aus sicherer ist, tr?gt nur weiter zu dem falschen Narrativ bei, das Unternehmen anf?llig f?r Cyberangriffe macht.“
Keywords:IT-Security, Cloud-Security, API-Schutz, Bot-Angriffe, Statistiken, 2022 State of API Security Report
Powered by WPeMatico